Opinión de Expertos: Cómo afectarán las nuevas leyes de privacidad de la UE a Blockchain

En nuestra Opinión de Expertos, los líderes de opinión de dentro y fuera de la criptoindustria expresan sus puntos de vista, comparten su experiencia y brindan asesoramiento profesional. Opinión de Expertos lo cubre todo, desde la tecnología Blockchain y el financiamiento de las ICO hasta impuestos, regulación y adopción de criptomonedas por diferentes sectores de la economía.

Si deseas contribuir con una Opinión de Expertos, envía tus ideas y CV a george@cointelegraph.com.

Las leyes de privacidad de la UE se establecen para someterse a su mayor reforma desde que fuesen creadas en 1995. El nuevo marco, titulado Reglamento de Protección de Datos (GDPR), entra en vigor el 25 de mayo del 2018 y va a cambiar drásticamente cómo las organizaciones manejan y usan los datos personales recogidos. El GDPR tiene como objetivo armonizar las leyes de privacidad de datos en toda la UE y dar a los individuos un mejor control sobre sus datos personales.

Según el GDPR, todas las organizaciones que almacenan datos personales de ciudadanos o residentes de la UE, incluidos los proyectos de Blockchain, deberán cumplir estrictas normas de privacidad de datos. De lo contrario, se generarán multas en función de la gravedad de la infracción, el carácter de la infracción y el protocolo de cumplimiento de la organización. Los delincuentes más atroces enfrentarán fuertes multas de hasta 20 millones de euros o cuatro por ciento de sus ingresos anuales, el que sea mayor.

Para evitar el riesgo de multas, todas las organizaciones que manejan los datos personales de ciudadanos o residentes de la UE deben tomar medidas activas para garantizar el cumplimiento, no solo las que se encuentran físicamente en la UE. Debido a que el GDPR se aplica a cualquier servicio en línea al que accedan ciudadanos o residentes de la UE, es probable que las regulaciones capturen la gran mayoría de los proyectos de Blockchain, independientemente de dónde se encuentren sus operaciones.

Si la UE puede aplicar estas regulaciones a organizaciones ubicadas fuera de la UE sigue siendo una pregunta abierta. Por ejemplo, ¿cómo perseguirá la UE una base de datos de centros de llamadas en Bangladesh o un proyecto Blockchain que opere en miles de nodos en todo el mundo? En cualquier caso, las organizaciones con presencia en la UE deberían comenzar inmediatamente la implementación del marco GDPR, que incluye cumplir con docenas de nuevos protocolos, que incluyen:

  • indicar claramente sus políticas de privacidad de datos
  • obtener el consentimiento expreso de las personas antes de recopilar datos personales
  • permitir a los individuos a fácilmente retirar su consentimiento en cualquier momento
  • asegurar adecuadamente los datos
  • garantizar que las transferencias de datos fuera de la UE cumplan con estándares estrictos
  • permitir a las personas revisar o eliminar sus datos personales

¿Puede Blockchain funcionar dentro del marco GDPR?

Desafortunadamente, muchas de las suposiciones que sustentan el GDPR están en conflicto con la tecnología central de Blockchain. Una Blockchain es una base de datos inmutable que es almacenada, mantenida y controlada por una red descentralizada. Esto contrasta con las bases de datos tradicionales, que están controladas por una parte central como Facebook, Google o Amazon Web Services. Si bien el GDPR pretende ser independiente de la tecnología, se redactó con la suposición de que los datos personales se almacenarían con partes centralizadas tradicionales que podrían administrar fácilmente los datos de acuerdo con el marco GDPR. Pero cuando se trata de Blockchain, no está claro cómo las redes descentralizadas en todo el mundo podrán implementar todos los estándares GDPR.

Por ejemplo, el GDPR y la Blockchain claramente no son compatibles con el requisito de GDPR de que los individuos tengan la capacidad de revisar o eliminar sus datos personales. Las blockchain son inmutables y generalmente no se pueden cambiar una vez que se crea un bloque. ¿Cómo se pueden conciliar la revisión de datos y la inmutabilidad? David Fragale, cofundador de Atonomi, resalta la contradicción:

"El GDPR presenta una oportunidad para que los ciudadanos de la UE ejerzan control sobre sus datos personales. Desde la perspectiva de Blockchain, esto se alinea bien con el espíritu de la comunidad de alejarse de las autoridades centrales. Sin embargo, tecnológicamente, esto entra en conflicto con el libro inmutable de Blockchain y la arquitectura descentralizada de almacenamiento de datos."

Shane Brett, CEO de GECKO Governance está de acuerdo en que hay un conflicto, pero recuerda un posible espacio para la interpretación y los diferentes enfoques nacionales dentro de la UE:

"El GDPR tiene la intención de otorgarle al individuo control sobre sus datos personales y cómo es utilizado por terceros, y uno de los componentes clave de la legislación es el derecho a ser olvidado/borrado de los datos. Sin embargo, esto entra en conflicto con la tecnología Blockchain, que se considera un libro mayor inmutable que no se puede eliminar. Básicamente, no puedes eliminar datos de un Blockchain una vez que se escriben, ya que esto rompería la cadena.

Sin embargo, debes tenerse en cuenta que el GDPR no define exactamente qué significado tiene la intención de borrar. Como tal, la interpretación de esto se dejará en manos del anfitrión de los datos, o puede aclararse más en la legislación transpuesta en cada Estado miembro de la UE."

Una posibilidad que se explora es el concepto de almacenamiento fuera de cadena para datos personales. Esta división en la arquitectura de datos permite referenciar datos personales en una blockchain pero no se ve ni se accede sin acceso a la base de datos fuera de cadena, explica Serafin Lion Engel de Datawallet, generalmente observando el GDPR con optimismo:

"Una solución interesante al problema es una arquitectura de manejo de datos dual, donde los elementos contractuales de una transacción se realizan en cadena a través de contratos inteligentes y la transferencia de datos real ocurre fuera de la cadena. Esto también resuelve los problemas de escalabilidad que enfrentamos con la tecnología Blockchain en su estado actual.

Creo que el GDPR es un gran paso hacia el futuro de un usuario con poder de datos, específicamente al exigir a las empresas que permitan a los usuarios descargarlos y moverlos a otras plataformas, o incluso eliminarlos por completo, y definitivamente hay compañías, como Datawallet, que buscan garantizar esta necesaria regulación y la tecnología emocionante que no necesitan ser mutuamente excluyentes."

Si bien este enfoque permite a las organizaciones revisar o eliminar datos personales y, por lo tanto, cumplir con el marco GDPR, plantea una serie de otras inquietudes. A saber, ¿cómo confían los individuos en que la base de datos fuera de cadena se gestiona correctamente? ¿Con qué facilidad se puede acceder a los datos personales fuera de la cadena y aún así facilitar las transacciones en cadena? Y, por supuesto, como hemos aprendido con todas las bases de datos centralizadas, ¿cómo se defenderán del ataque?

Según Rob Viglione, cofundador y jefe de equipo de ZenCash, el cumplimiento del GDPR es una gran preocupación para las firmas de gestión de identidades que exploran las soluciones de Blockchain:

"Estamos trabajando con varias empresas que desean llevar protocolos de identidad digital a Blockchain, pero aún nadie ha resuelto el problema de cumplimiento del GDPR. El marco de la UE es difícil de aplicar a la tecnología Blockchain y definitivamente está causando preocupación en estos proyectos."

Desafortunadamente, muchas de estas preocupaciones se complican aún más con la arquitectura de nodos de Blockchain. El GDPR está diseñado para que las organizaciones almacenen los datos personales de los ciudadanos y residentes de la UE dentro de la UE y no a través de miles de nodos descentralizados en todo el mundo. Además, el GDPR asume un mundo en el que los líderes corporativos son responsables de implementar estándares regulatorios.

Pero los proyectos Blockchain a menudo son gestionados por una colaboración flexible de desarrolladores y emprendedores ubicados en todo el mundo. Algunos incluso están gobernados por organizaciones autónomas descentralizadas (DAO). Estos nuevos sistemas de gobernanza no funcionan de la manera en que los reguladores de la UE contemplaron. ¿Quién dentro de un proyecto Blockchain puede garantizar que cada nodo cumpla con los estándares GDPR para privacidad? ¿A quién pueden acercarse los reguladores del GDPR para verificar el cumplimiento? ¿A quién pueden castigar por incumplimiento? Todos estos son asuntos que los reguladores de la UE y los proyectos de Blockchain deben enfrentar en los próximos meses y la tarea será hercúlea.

Las opiniones e interpretaciones en este artículo son las del autor y no representan necesariamente las opiniones de Cointelegraph.

Dean Steinbeck un abogado corporativo de los EE. UU. con un enfoque en la privacidad y la tecnología de datos. Es asesor general de TigerConnect, una plataforma de comunicación clínica que presta servicios a más de 4 000 organizaciones sanitarias de EE. UU.